STAYONFIRE

Datenschutzerklärung

Stand: 8. Mai 2026

Diese Datenschutzerklärung informiert darüber, wie wir personenbezogene Daten im Zusammenhang mit unserer Website stayonfire.de sowie unserer iOS- und Android-App STAYONFIRE verarbeiten.

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung ist:

STAYONFIRE e.V.
Weinbergsweg 2a
55596 Waldböckelheim
E-Mail: info@stayonfire.de

Wir haben keinen Datenschutzbeauftragten benannt, da die gesetzlichen Voraussetzungen für eine Bestellung nicht vorliegen. Anfragen zum Datenschutz richten Sie bitte an die oben genannten Kontaktdaten.

2. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies erforderlich ist, um unsere Website und App bereitzustellen, Inhalte auszuliefern, Nutzerkonten zu ermöglichen, technische Sicherheit und Stabilität zu gewährleisten, Suchfunktionen bereitzustellen, Push-Benachrichtigungen zu versenden, Spenden abzuwickeln oder unser Angebot zu verbessern.

Je nach Funktion erfolgt die Verarbeitung auf Grundlage von:

  • Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung zur Bereitstellung eines Nutzerkontos, zur App-Nutzung oder zur Abwicklung einer Spende erforderlich ist.
  • Art. 6 Abs. 1 lit. f DSGVO, soweit wir ein berechtigtes Interesse an der sicheren, stabilen und nutzerfreundlichen Bereitstellung unseres Angebots haben.
  • Art. 6 Abs. 1 lit. a DSGVO, soweit eine Einwilligung erforderlich ist, insbesondere bei Push-Benachrichtigungen.

3. Empfänger, Auftragsverarbeiter und Drittlandübermittlungen

Wir setzen Dienstleister ein, die personenbezogene Daten in unserem Auftrag oder als eigene Verantwortliche verarbeiten können. Mit Auftragsverarbeitern schließen wir, soweit erforderlich, Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO.

Einige Anbieter haben ihren Sitz außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums oder können Daten dort verarbeiten. Soweit Daten in Drittländer übermittelt werden, erfolgt dies auf Grundlage geeigneter Garantien, insbesondere der EU-Standardvertragsklauseln, sofern kein Angemessenheitsbeschluss besteht.

Betroffen sein können insbesondere folgende Anbieter mit möglicher Verarbeitung in den USA: Sentry, Mux, Branch.io, Expo, Apple, Google/Firebase und ggf. weitere Unterauftragnehmer.

4. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Technische Protokolldaten, Fehlerdaten und Analyseereignisse werden regelmäßig gelöscht oder anonymisiert, sobald sie für die genannten Zwecke nicht mehr erforderlich sind. Kontodaten werden grundsätzlich für die Dauer des Nutzerkontos gespeichert und nach Löschung des Kontos gelöscht, sofern keine gesetzlichen Pflichten entgegenstehen.

Spenden- und spendenbezogene Daten unterliegen den gesetzlichen Aufbewahrungsfristen, insbesondere der zehnjährigen handels- und steuerrechtlichen Aufbewahrungspflicht nach § 147 AO sowie den steuerrechtlichen Anforderungen an Spendenbescheinigungen (§ 50 EStDV). Eine Löschung erfolgt erst nach Ablauf dieser Fristen.

Verarbeitung auf der Website und in der App

5. Hosting und technische Bereitstellung der Website

Unsere Website wird über Vercel bereitgestellt.

  • Anbieter: Vercel Inc., USA; verbunden mit Vercel Germany GmbH
  • Region: EU, Frankfurt
  • Zweck: Hosting der Website, Edge- und Serverless-Funktionen
  • Verarbeitete Daten: IP-Adresse, User-Agent, Header, Cookies, Request Body und weitere technische HTTP-Anfragedaten
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

Unser berechtigtes Interesse liegt in der sicheren, performanten und zuverlässigen Bereitstellung unserer Website.

6. Backend und API

Für interne Backend-Funktionen nutzen wir eine eigene API, die über Heroku, einen Dienst von Salesforce, gehostet wird.

  • Anbieter: Salesforce, Inc., USA. Heroku gehört zur Salesforce-Gruppe; die Datenverarbeitung erfolgt jedoch ausschließlich in der EU (siehe Region).
  • Region: EU, Dublin (Irland)
  • Zweck: Hosting unserer internen NestJS API unter api.stayonfire.app
  • Verarbeitete Daten: API-Anfragen; bei Website-Nutzung nach aktueller Architektur nur Server-IP, bei App-Nutzung Geräte-IP sowie technische Anfrageinformationen
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

7. Content-Management und Auslieferung redaktioneller Inhalte

Wir nutzen Hygraph als Headless CMS.

  • Anbieter: Hygraph GmbH, Berlin, Deutschland
  • Region: EU, Frankfurt
  • Zweck: Verwaltung und Auslieferung redaktioneller Inhalte wie Posts, Podcasts, Videos und Impulse
  • Verarbeitete Daten: GraphQL-Abfragen; beim Laden von Bildern über den Asset-CDN können IP-Adresse und User-Agent verarbeitet werden
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

Unser berechtigtes Interesse liegt in der effizienten Verwaltung und Bereitstellung unserer Inhalte.

8. Nutzerkonto, Authentifizierung und Profildaten in der App

Für Nutzerkonten in der App nutzen wir Supabase.

  • Anbieter: Supabase Inc., USA
  • Region: EU, Frankfurt
  • Zweck: Authentifizierung, Nutzerkonto, Profildatenbank und nutzerbezogene App-Funktionen
  • Verarbeitete Daten: E-Mail-Adresse, sofern angegeben; aus Apple- oder Google-Login abgeleitete Nutzer-ID; Name bei Apple-Login nur bei der ersten Anmeldung, soweit von Apple bereitgestellt; Favoriten, Likes, abgeschlossene Beiträge, Expo-Push-Tokens und Zeitzone
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Diese Verarbeitung ist erforderlich, um ein Nutzerkonto und damit verbundene App-Funktionen bereitzustellen.

9. Anmeldung mit Apple und Google

In der App können sich Nutzer über Apple oder Google anmelden.

Sign in with Apple

  • Anbieter: Apple Inc., USA
  • Zweck: Anmeldung mit Apple-ID
  • Verarbeitete Daten: ID-Token; vollständiger Name nur bei erster Anmeldung, soweit von Apple bereitgestellt
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Sign in with Google

  • Anbieter: Google Ireland Limited; ggf. Google LLC, USA
  • Zweck: Anmeldung mit Google-Konto
  • Verarbeitete Daten: ID-Token / JWT
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Die Anbieter können Daten auch als eigenständige Verantwortliche nach ihren eigenen Datenschutzbedingungen verarbeiten.

10. Suche

Für die Suche nach Inhalten nutzen wir Algolia.

  • Anbieter: Algolia SAS, Frankreich
  • Region: EU, Cluster c67-eu
  • Zweck: Volltextsuche über Inhalte
  • Verarbeitete Daten: Suchbegriff, Filterparameter, IP-Adresse des anfragenden Geräts
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

Unser berechtigtes Interesse liegt darin, Nutzern eine schnelle und relevante Suchfunktion bereitzustellen.

11. Fehleranalyse, Crash Reporting und Performance Monitoring

Wir nutzen Sentry, um technische Fehler, Abstürze und Performance-Probleme zu erkennen und zu beheben.

  • Anbieter: Functional Software, Inc. dba Sentry, USA
  • Region: USA
  • Zweck: Erfassung und Analyse technischer Fehler, Abstürze, Transaktionen und Performance-Metriken
  • Verarbeitete Daten: Stack Traces, technische Request-Kontexte, IP-Adresse, Laufzeit- und SDK-Metadaten
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

Unser berechtigtes Interesse liegt in der Sicherheit, Stabilität und Fehlerbehebung unserer Website und App.

12. Produktanalyse

Wir nutzen PostHog, um zu verstehen, wie Website und App genutzt werden, und um unser Angebot zu verbessern.

  • Anbieter: PostHog Inc., USA
  • Region: EU Cloud, Frankfurt
  • Zweck: Produktanalyse, Events, Funnels und Retention-Auswertungen
  • Verarbeitete Daten: pseudonyme Events, Seiten- bzw. Screen-URL, User-Agent, gekürzte IP-Adresse
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

Auf der Website verwenden wir PostHog ohne Cookies und ohne LocalStorage. Die Persistenz erfolgt nur im Arbeitsspeicher. Es werden auf der Website keine identifizierten Personenprofile erstellt. In der App wird eine persistente pseudonyme ID im lokalen App-Speicher gespeichert. Geo-IP-Auswertung ist deaktiviert. Personenbezogene Schlüssel wie E-Mail, Name, Telefonnummer oder Suchanfragen werden vor dem Versand entfernt.

Unser berechtigtes Interesse liegt in der datensparsamen Reichweitenmessung und Verbesserung unseres Angebots.

13. Video-Streaming

Für Videoinhalte nutzen wir Mux.

  • Anbieter: Mux, Inc., USA
  • Zweck: HLS-Video-Streaming und Bereitstellung von Vorschaubildern
  • Verarbeitete Daten: Geräte-IP, User-Agent, Cookies und Wiedergabemetadaten
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

Mux Data Analytics ist auf der Website deaktiviert. In der App erfolgt die Videowiedergabe über expo-video; nach aktueller Konfiguration senden wir keine Mux-Data-Telemetrie.

Unser berechtigtes Interesse liegt in der zuverlässigen Bereitstellung von Videoinhalten.

14. Podcast-Streaming

Für Podcast-Audiodateien nutzen wir Letscast.fm.

  • Anbieter: Produktgenuss GmbH, Vereinsstraße 51, 20357 Hamburg, Deutschland (Betreiber von Letscast.fm)
  • Region: EU, Deutschland
  • Zweck: Hosting und Auslieferung von Podcast-Audiodateien
  • Verarbeitete Daten: Geräte-IP und User-Agent beim Abruf bzw. Streaming von Audiodateien
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

Unser berechtigtes Interesse liegt in der Bereitstellung von Podcast-Inhalten.

15. Push-Benachrichtigungen in der App

In der App können Nutzer Push-Benachrichtigungen aktivieren. Push-Benachrichtigungen werden nur nach vorheriger Einwilligung über das Betriebssystem versendet.

Für die technische Zustellung nutzen wir den Expo Push Service.

  • Anbieter: 650 Industries, Inc. dba Expo, USA
  • Zweck: Erstellung und Verwaltung von Push-Tokens sowie Weiterleitung von Benachrichtigungen an Apple Push Notification service bzw. Firebase Cloud Messaging
  • Verarbeitete Daten: Geräte-Push-Tokens und Benachrichtigungsinhalte
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO

Für iOS erfolgt die Zustellung über Apple Push Notification service (APNs), Anbieter Apple Inc., USA. Für Android erfolgt die Zustellung über Firebase Cloud Messaging (FCM), Anbieter Google Ireland Limited bzw. Google LLC, USA.

Nutzer können Push-Benachrichtigungen jederzeit in den Einstellungen ihres Betriebssystems deaktivieren.

16. Spendenformular auf der Website

Auf der Seite /spenden binden wir ein Spendenformular der twingle GmbH als iframe ein. Das Formular wird beim Seitenaufruf direkt von spenden.twingle.de geladen.

  • Anbieter: twingle GmbH, Prinzenallee 74, 13357 Berlin, Deutschland (Handelsregister Berlin-Charlottenburg HRB 140291 B; Geschäftsführer: Fabian Schreiber)
  • Region: EU, Deutschland
  • Zweck: Bereitstellung des Spendenformulars, Annahme von Spendendaten, Anbindung an Zahlungsdienstleister sowie Übermittlung der Spendendaten an uns
  • Verarbeitete Daten: beim Laden des Formulars technische Anfragedaten wie IP-Adresse, User-Agent und Verbindungsmetadaten; beim Absenden einer Spende zusätzlich Name, E-Mail-Adresse, Anschrift, Zahlungsmethode und Zahlungsdaten, Spendenbetrag, Spendenrhythmus sowie gegebenenfalls ein Verwendungszweck
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Abwicklung der Spende als Vertragsverhältnis)

Mit twingle besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Twingle nutzt für die Zahlungsabwicklung angebundene Zahlungsdienstleister (z. B. für SEPA-Lastschrift, Kreditkarte oder PayPal); diese verarbeiten die jeweiligen Zahlungsdaten als eigene Verantwortliche im Rahmen des Bezahlvorgangs nach ihren eigenen Datenschutzbedingungen.

Die über das Formular erhobenen Spendendaten werden anschließend zur weiteren Bearbeitung an uns übermittelt; die nachfolgenden Schritte (Spenderkommunikation, Buchhaltung, Spendenbescheinigungen, gelegentliche Auswertungen) sind in den nachfolgenden Abschnitten erläutert.

17. E-Mail-Postfach für Spendenanfragen

Spendenbestätigungen sowie sonstige Korrespondenz mit Spendern laufen über das E-Mail-Postfach spende@stayonfire.de. Das Postfach wird bei der STRATO GmbH gehostet.

  • Anbieter: STRATO GmbH, Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland (Handelsregister Berlin-Charlottenburg HRB 270570 B)
  • Region: EU, Deutschland
  • Zweck: Empfang von Spendenbestätigungen sowie Aufbau und Pflege der Korrespondenz mit Spendern
  • Verarbeitete Daten: Name, E-Mail-Adresse, Anschrift, spendenbezogene Angaben (Betrag, Rhythmus, gegebenenfalls Verwendungszweck) sowie sämtliche eingehende und ausgehende Korrespondenz
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) sowie Art. 6 Abs. 1 lit. f DSGVO (effiziente Bearbeitung der Spenderkorrespondenz)

Mit STRATO besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

18. Spenderkontakt und Spenderkommunikation (CRM)

Zur Verwaltung der Spenderkontakte und für die laufende Kommunikation mit Spendern setzen wir das Customer-Relationship-Management-System Pipedrive ein.

  • Anbieter: Pipedrive OÜ, Paldiski mnt 80, 10617 Tallinn, Estland (EU)
  • Region: EU, Frankfurt am Main
  • Zweck: Verwaltung von Spenderkontakten, Dokumentation der Spendenhistorie, Pflege der Korrespondenz sowie Versand transaktionaler und relationaler Mitteilungen an Spender (z. B. Dankschreiben, Informationen zu Spendenzwecken)
  • Verarbeitete Daten: Name, E-Mail-Adresse, Anschrift, Spendenbeträge und -historie, E-Mail-Korrespondenz sowie interne Notizen und Aktivitäten
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Spenderpflege und Spenderkommunikation als gemeinnütziger Verein)

Die Verarbeitung erfolgt vertraglich auf Grundlage der Pipedrive-Nutzungsbedingungen, der Pipedrive-Auftragsverarbeitungsvereinbarung (DPA) und der Pipedrive-Datenschutzerklärung, die zusammen einen Auftragsverarbeitungsvertrag im Sinne des Art. 28 DSGVO bilden.

Spender können der Verwendung ihrer Daten zu Zwecken der Spenderpflege jederzeit widersprechen (siehe Abschnitt zu Ihrem Widerspruchsrecht). Bei Widerspruch wird der Spenderkontakt aus dem CRM gelöscht; gesetzliche Aufbewahrungspflichten zu Spenden- und Buchhaltungsdaten (siehe Abschnitt zur Buchhaltung) bleiben hiervon unberührt.

19. Buchhaltung und Spendenbescheinigungen

Spenden werden in unserer Buchhaltungssoftware gettup verbucht. Über gettup werden auch Spendenbescheinigungen (Zuwendungsbestätigungen) erstellt und ausgegeben.

  • Anbieter: gettup Management GmbH, Schauenburgerstraße 116, 24118 Kiel, Deutschland (Amtsgericht Kiel HRB 13977 KI)
  • Region: EU, Deutschland
  • Zweck: Verbuchung von Spenden, Erstellung und Verwaltung von Spendenbescheinigungen sowie Erfüllung handels- und steuerrechtlicher Pflichten
  • Verarbeitete Daten: Name, Anschrift, E-Mail-Adresse, Spendenbetrag, Zahlungsmethode, spendenbescheinigungsrelevante Identifikatoren sowie Historie erteilter Spendenbescheinigungen
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 10b EStG, § 50 EStDV (Pflicht zur Ausstellung von Zuwendungsbestätigungen) sowie § 147 AO (handels- und steuerrechtliche Aufbewahrungspflicht)

Mit der gettup Management GmbH besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

Spenden- und spendenbescheinigungsrelevante Daten werden für die gesetzliche Aufbewahrungsfrist von zehn Jahren gemäß § 147 AO aufbewahrt. Eine vorzeitige Löschung ist insoweit ausgeschlossen, als sie der gesetzlichen Pflicht entgegensteht.

20. Interne Cloud-Ablage

Auswertungen und Berichte zu Spendendaten können fallweise in unserer internen Cloud-Ablage auf Microsoft OneDrive bzw. SharePoint gespeichert werden.

  • Anbieter: Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland; Sub-Auftragsverarbeitung durch Microsoft Corporation, USA, sowie weitere Microsoft-Konzerngesellschaften
  • Region: EU, Deutschland (Primärspeicherung auf deutschen Microsoft-Rechenzentren)
  • Zweck: interne Ablage und Bearbeitung von Berichten und Auswertungen zu Spendendaten innerhalb des Vereins
  • Verarbeitete Daten: in den abgelegten Dateien enthaltene Spenderdaten (z. B. Name, Spendenbetrag, Anschrift — je nach Inhalt der jeweiligen Auswertung)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (organisatorische Effizienz und ordnungsgemäße Vereinsverwaltung)

Die Verarbeitung erfolgt auf Grundlage der mit Bezug der Microsoft-365-Dienste einbezogenen Vertragsbedingungen, insbesondere des "Microsoft Products and Services Data Protection Addendum", das einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO darstellt. Soweit Microsoft im Rahmen der Diensterbringung Daten an Microsoft Corporation (USA) oder andere Microsoft-Konzerngesellschaften außerhalb der EU/EWR übermittelt (insbesondere Telemetrie- und Support-Daten), erfolgt dies auf Grundlage der EU-Standardvertragsklauseln.

21. Deep-Link-Weiterleitung

Für bestimmte App-Links nutzen wir Branch.io OneLink als Fallback-Weiterleitung, wenn iOS oder Android einen stayonfire.de-Link nicht direkt in der App öffnet.

  • Anbieter: Branch Metrics, Inc., USA
  • Zweck: Universal-Link-Fallback und Weiterleitung zur App
  • Verarbeitete Daten: Geräte-IP und User-Agent beim Fallback-Redirect
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

Unser berechtigtes Interesse liegt darin, App-Links zuverlässig funktionieren zu lassen.

22. Externe Links

Unsere Website und App enthalten Links zu externen Angeboten. Beim bloßen Anzeigen unserer Website oder App werden an diese Anbieter keine Daten übertragen. Erst wenn Nutzer einen externen Link anklicken, kann der jeweilige Anbieter personenbezogene Daten wie IP-Adresse, Geräteinformationen oder Browserdaten verarbeiten.

Dies betrifft insbesondere:

  • Apple App Store
  • Google Play
  • YouTube
  • Instagram
  • TikTok
  • Biblica
  • YouVersion / Bible.com

Rechtsgrundlage für die Bereitstellung externer Links: Art. 6 Abs. 1 lit. f DSGVO. Für die weitere Verarbeitung durch externe Anbieter gelten deren eigene Datenschutzinformationen.

Cookies und lokaler Speicher

23. Website

Unsere Website setzt beim ersten Aufruf keine Tracking-Cookies. Wir verwenden nach aktueller Konfiguration keine Cookies, kein LocalStorage und kein SessionStorage zu Trackingzwecken und kein Fingerprinting.

Zur Speicherung der vom Nutzer gewählten Darstellung, z. B. helles oder dunkles Design, verwenden wir einen LocalStorage-Eintrag über next-themes. Diese Speicherung ist erforderlich, um die ausdrücklich gewünschte Darstellung der Website bereitzustellen.

Eine Einwilligung nach § 25 Abs. 1 TDDDG ist nicht erforderlich, wenn die Speicherung oder der Zugriff unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten digitalen Dienst bereitzustellen.

24. App

In der App können technische Informationen lokal auf dem Gerät gespeichert werden, z. B. zur Authentifizierung, für App-Einstellungen, Push-Tokens oder eine pseudonyme Analyse-ID. Diese Speicherung dient der Bereitstellung der App-Funktionen und der Wiedererkennung des App-Installationskontexts.

Rechte der betroffenen Personen

25. Ihre Rechte

Betroffene Personen haben nach Maßgabe der DSGVO insbesondere folgende Rechte:

  • Recht auf Auskunft über die verarbeiteten personenbezogenen Daten
  • Recht auf Berichtigung unrichtiger Daten
  • Recht auf Löschung
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Recht auf Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO
  • Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft
  • Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde

Zur Ausübung dieser Rechte können Nutzer uns unter den oben genannten Kontaktdaten kontaktieren.

26. Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen

Soweit wir personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, haben Nutzer das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen diese Verarbeitung einzulegen.

27. Widerruf von Einwilligungen

Soweit eine Verarbeitung auf einer Einwilligung beruht, kann diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden. Push-Benachrichtigungen können zusätzlich jederzeit über die Systemeinstellungen des jeweiligen Geräts deaktiviert werden.